Indubbiamente, la corretta gestione del nostro server si riflette nel funzionamento ottimale di ogni caratteristica del nostro server e quindi del percorso operativo della nostra rete.
Le politiche di auditing avanzate ci danno la possibilità di avere un controllo più centralizzato poiché ci facilitano la verifica degli eventi che si verificano sul nostro server e la possibilità di determinare più chiaramente cosa accade quotidianamente.
Esamineremo come implementare le politiche di sicurezza, supponendo che il nostro schema di sicurezza possa essere suddiviso in tre (3) aree:
AutenticazioneFornire un'identità all'utente.
AutorizzazioneFornisce l'accesso all'utente autenticato.
UditoConsente di mantenere il controllo sugli utenti registrati nel sistema e sulle modifiche che possono eseguire.
Una delle domande classiche è sapere se vogliamo davvero implementare politiche di sicurezza. È qualcosa di assolutamente necessario per avere tutto sotto controllo ed evitare problemi.
Perché dovremmo implementare una politica di sicurezza?È importante come amministratori applicare politiche di sicurezza per rivedere argomenti come:
- Quali utenti accedono correttamente.
- Quanti tentativi non riusciti ha un utente.
- Modifiche apportate all'Active Directory della nostra organizzazione.
- Modifiche a file specifici.
- Chi ha riavviato o spento il server e perché.
In questa guida imparerai come implementare, controllare, creare policy e tutto ciò di cui hai bisogno per il tuo ambiente aziendale con server Windows Server nei punti focali che devi avere controllato.
1. Gestire il controllo con Criteri di gruppo GPO
Dobbiamo specificare quali tipi di eventi di sistema vogliamo controllare utilizzando i criteri di gruppo.
Vediamo alcuni degli eventi più comuni che possiamo gestire:
Account login
- Descrizione
Determina quando il sistema controlla un account registrato correttamente.
- Configurazione predefinita
Accesso all'account riuscito
Amministrazione conti
- Descrizione
Determina quando il sistema controlla ogni evento di un account registrato, ad esempio modifiche alla password, cancellazione dell'account.
- Configurazione predefinita
Amministrazione delle attività degli account registrati in modo soddisfacente
Accesso alla directory dei servizi
- Descrizione
Determina quando il sistema verifica che l'utente tenti di accedere ad Active Directory.
Login
- Descrizione
Determina quando il sistema controlla il tentativo di ogni utente di accedere o disconnettersi dal sistema.
- Configurazione predefinita
Login effettuato con successo.
Modifica della politica
- Descrizione
Determina quando il sistema controlla ogni tentativo di modificare i criteri stabiliti del dominio.
- Configurazione predefinita
Modifiche alle politiche di successo
Sistema
- Descrizione
Determina quando il sistema verifica eventuali modifiche al sistema.
- Configurazione predefinita
Eventi di sistema riusciti.
Dobbiamo prendere alcune precauzioni quando si creano criteri di controllo, ad esempio:
- Alti livelli di controllo possono influenzare drasticamente le prestazioni del dispositivo da controllare.
- Quando cerchiamo i log degli eventi vedremo che ci sono migliaia di log e la ricerca può interessarci. Le tempistiche da sottoporre ad audit devono essere chiaramente definite.
- I log più recenti sostituiscono i log più vecchi, questo può impedirci di vedere eventi importanti avvenuti in un periodo precedente.
2. Implementare la politica di controllo dell'oggetto Criteri di gruppo
a implementare una politica di audit dobbiamo eseguire i seguenti passaggi:
Passo 1
Apriamo il nostro Server Manager o Server Manager. Clicchiamo su Strumenti e scegliamo l'opzione Gestione criteri di gruppo.
INGRANDIRE
Quindi visualizzerà il menu degli oggetti Criteri di gruppo, dobbiamo visualizzare il dominio corrente e fare clic con il pulsante destro del mouse su Criterio di dominio predefinito.
Passo 2
Scegliamo l'opzione Modificare e il Editor per la gestione dei criteri di gruppo.
Distribuiamo il seguente percorso:
- Configurazione dell'attrezzatura
- Direttive
- Impostazioni di Windows
- Impostazioni di sicurezza
- Direttive locali
- Direttiva sull'Audit
Passaggio 3
Vedremo che viene visualizzata una finestra con i diversi opzioni per l'audit:
Facciamo doppio clic sull'opzione Controlla gli eventi di accesso, vedremo che si apre la finestra delle proprietà di detto audit.
Segnaliamo la casella di controllo Definisci questa impostazione dei criteri per abilitare questa policy, attiviamo entrambe le caselle (Correzione ed Errore) e clicchiamo su Applicare e finalmente in Accettare per salvare le modifiche.
Vedremo le modifiche riflesse dal nostro audit:
3. Implementare il criterio di controllo (file o cartella)
Possiamo aggiungere un tipo di audit a uno specifico file o cartella, per questo eseguiremo il seguente processo:
Passo 1
Noi diamo clic destro nella cartella che vogliamo assegnare all'audit e scegli l'opzione Proprietà.
Nella finestra Proprietà (modifica) selezioniamo la scheda Sicurezza.
Passo 2
Facciamo clic su Opzioni avanzate e verrà visualizzata la seguente finestra:
Clicchiamo sull'opzione Audit e poi in Aggiungere.
Passaggio 3
Nella finestra visualizzata scegliamo l'opzione Seleziona un preside per trovare quale criterio aggiungere.
Abbiamo scelto il oggetto per applicare l'audit:
Infine specifichiamo i parametri di audit (Lettura, Scrittura, ecc.), clicchiamo su Accettare per salvare le modifiche.
Con questi passaggi faremo già verificare la selezione che abbiamo scelto.
RicordarePossiamo implementare politiche di audit utilizzando lo strumento AuditPol.exe incluso in Windows Server 2012, questo comando verrà visualizzato e ci consentirà di gestire i nostri criteri.
La sintassi che possiamo usare per questo comando include quanto segue:
- / ottenere: Visualizza la politica attuale
- /impostato: Stabilire la politica di audit
- / elenco: Visualizza gli elementi della polizza
- / backup: Salva la politica di controllo in un file
- / chiaro: Pulisci la politica di audit
- /?: Mostra aiuto
4. Eventi ed eventi dal Visualizzatore eventi
Quando abbiamo configurato le nostre politiche di sicurezza, nel visualizzatore eventi possiamo vedere tutti i diversi eventi che si sono verificati sul nostro server, questi eventi sono rappresentati da un codice numerico, vediamo alcuni degli eventi più rappresentativi:
Audit di convalida delle credenziali
- 4774: Un account è stato mappato per l'accesso
- 4775: Un account non è stato mappato per l'accesso
- 4776: Il controller di dominio ha provato a convalidare le credenziali per un account
- 4777: Il controller di dominio non è riuscito a convalidare le credenziali per un account
Controllo degli eventi per l'accesso all'account
- 4778: Una sessione è stata ricollegata su una stazione Windows
- 4779: Una stazione è stata disconnessa da una stazione Windows
- 4800: Una stazione è stata bloccata
- 4801: Una stazione è stata sbloccata
- 5632: È stato creato un requisito per autenticare una rete Wi-Fi
- 5633: È stato creato un requisito per autenticare una rete cablata
Audit dell'applicazione per la gestione del gruppo
- 4783: È stata creata un'applicazione di gruppo di base
- 4784: È stata modificata un'app di gruppo di base
Controllo della gestione dell'account
- 4741: È stato creato un account computer
- 4742: Un account del computer è stato modificato
- 4743: Un account del computer è stato eliminato
Audit dell'amministrazione del gruppo di distribuzione
- 4744: È stato creato un gruppo di distribuzione locale
- 4746: Un membro è stato aggiunto a un gruppo di distribuzione locale
- 4747: Un membro è stato rimosso da un gruppo di distribuzione locale
- 4749: È stato creato un gruppo di distribuzione globale
- 4750: È stato modificato un gruppo di distribuzione globale
- 4753: Un gruppo di distribuzione globale è stato rimosso
- 4760: Un gruppo di sicurezza è stato modificato
Controllo dell'amministrazione del gruppo di sicurezza
- 4727: È stato creato un gruppo di sicurezza globale
- 4728: Un membro è stato aggiunto a un gruppo di sicurezza globale
- 4729: Un membro è stato rimosso da un gruppo di sicurezza globale
- 4730: Un gruppo di sicurezza globale è stato rimosso
- 4731: È stato creato un gruppo di sicurezza locale
- 4732: Un membro è stato aggiunto a un gruppo di sicurezza locale
Controllo della gestione dell'account utente
- 4720: È stato creato un account utente
- 4722: È stato abilitato un account utente
- 4723: È stato creato un tentativo di modificare la password
- 4725: Un account utente è stato disabilitato
- 4726: Un account utente è stato eliminato
- 4738: Un account utente è stato modificato
- 4740: Un account utente è stato bloccato
- 4767: Un account utente è stato sbloccato
- 4781: Il nome di un account utente è stato modificato
Audit di processo
- 4688: È stato creato un nuovo processo
- 4696: Un codice primario è stato assegnato a un processo
- 4689: Un processo è terminato
Audit dei servizi di directory
- 5136: Un oggetto del servizio di directory è stato modificato
- 5137: È stato creato un oggetto del servizio directory
- 5138: È stato recuperato un oggetto del servizio di directory
- 5139: Un oggetto del servizio di directory è stato spostato
- 5141: Un oggetto del servizio di directory è stato eliminato
Audit dell'account
- 4634: Un account è stato disconnesso
- 4647: L'utente ha iniziato a disconnettersi
- 4624: Un account è stato effettuato correttamente l'accesso
- 4625: Un account non è riuscito ad accedere
Audit di file condivisi
- 5140: È stato effettuato l'accesso a un oggetto di rete
- 5142: È stato aggiunto un oggetto di rete
- 5143: Un oggetto di rete è stato modificato
- 5144: Un oggetto di rete è stato eliminato
Altri tipi di audit
- 4608: Windows è stato avviato
- 4609: Windows è stato spento
- 4616: Il fuso orario è stato modificato
- 5025: Il firewall di Windows è stato interrotto
- 5024: Il firewall di Windows è stato avviato
Come possiamo vedere ci sono molti più codici per rappresentare i diversi eventi che accadono quotidianamente sul nostro server e sulla nostra rete, possiamo vedere tutti i codici sul sito Web di Microsoft.
5. Accesso al Visualizzatore eventi di WServer 2012
Conosceremo il processo per accedere al visualizzatore di eventi del nostro server e da lì per poter filtrare o cercare eventi specifici.
Dobbiamo entrare in Server Manager o Server Manager. Lì selezioniamo l'opzione visualizzatore eventi dal menu Strumenti.
INGRANDIRE
Lì verrà visualizzata la rispettiva finestra per poter cercare gli eventi sul nostro dispositivo:
Nel menu di sinistra abbiamo diverse opzioni per vedere gli eventi.
Come vediamo possiamo filtra per categorie Che cosa:
- Registri di Windows
- Registri dell'applicazione
- Microsoft
E a sua volta possiamo cercare per sottocategorie come Applicazione, Sicurezza, ecc.
Ad esempio scegliamo l'opzione Sicurezza dal menu Registri di Windows.
INGRANDIRE
Possiamo vedere nel menu centrale il struttura dell'evento:
- Nome dell'evento
- Data dell'evento
- Fonte
- ID evento (già visto prima)
- Categoria
Nel menu di sinistra troviamo le opzioni per regolare il nostro visualizzatore di eventi, come ad esempio:
- Apri i record salvati: Ci consente di aprire i record che abbiamo precedentemente salvato.
- Visualizzazione personalizzata: Ci permette di creare una vista in base alle nostre esigenze, ad esempio possiamo crearla per ID evento, per data, per categoria, ecc.
- Importa visualizzazione personalizzata: Ci permette di importare la nostra vista creata in un'altra posizione.
- Registro vuoto: Possiamo lasciare il visualizzatore di eventi a zero.
- Filtra record corrente: Possiamo eseguire parametri per eseguire una ricerca più specifica.
- Proprietà: Visualizza le proprietà dell'evento.
E così ci rendiamo conto che abbiamo altre opzioni nel nostro visualizzatore di eventi.
Possiamo creare una policy di audit per i dispositivi rimovibili, per questo eseguiremo il seguente processo:
entriamo nel nostro Amministratore del server
Scegliamo dal menu Strumenti l'opzione Gestore criteri di gruppo.
Dobbiamo visualizzare il nostro dominio, clic destro, clic Modificare e inserisci il seguente percorso:
- Configurazione dell'attrezzatura
- Direttive
- Impostazioni di Windows
- Impostazioni di sicurezza
- Impostazioni avanzate dei criteri di controllo
- Impostazioni dei criteri
- Accesso agli oggetti
Facciamo doppio clic su Accesso agli oggetti, scegliamo l'opzione Controlla l'archiviazione rimovibile.
Verrà visualizzata la rispettiva finestra, attiviamo la casella di controllo Configura i seguenti eventi di controllo e scegliamo l'opzione Corretto.
Per salvare le modifiche clicchiamo su Applicare e poi in Accettare.
Come si vede, esistono strumenti che rendono la gestione amministrativa di una rete un compito estremamente importante e responsabile, dobbiamo esplorare a fondo tutto ciò che Windows Server 2012 ci offre per avere una rete sempre disponibile.
Nascondi unità Windows Server GPO